국산 스마트폰 해킹에 모두 뚫린다

타인 인증번호 가로채 결제… 숭실대 이정현 교수팀 시연

스마트폰도 해킹이 가능하다고 지적한 동아일보 1월 7일자 A2면 보도.

마이크로소프트 윈도 모바일 운영체제를 채택한 국산 스마트폰이 해킹에 매우 취약한 것으로 드러났다.

숭실대 컴퓨터학부 이정현 교수팀은 스마트폰으로 무선 랜(WiFi)을 통해 웹사이트에 접속해 소액 결제를 할 때 문자메시지(SMS)로 전송되는 인증번호 등을 가로채 다른 사람의 스마트폰 번호로 최대 20만 원까지 결제할 수 있었다고 1일 밝혔다. 연구진은 윈도 모바일 6.1을 채택한 국산 스마트폰 4종에 해킹을 시도해 모두 성공했다.

이 교수는 해킹을 시연하기 위해 웹사이트를 통해 피해자의 기기에 감염되는 트로이목마 바이러스(시스템에 숨어 특정 정보를 빼내는 바이러스)를 만들었다. 무선 랜으로 바이러스가 있는 웹사이트에 접속했다가 감염된 피해자의 기기는 사용자가 성인 인증 등을 받기 위해 입력한 주민등록번호와 이름, 전화번호를 몰래 저장했고 해커의 스마트폰에 내장된 바이러스 컨트롤 프로그램이 무선 랜으로 이를 빼냈다.

해커는 빼낸 피해자의 정보로 인터넷 쇼핑몰에서 상품 구매를 시도했다. 쇼핑몰이 본인 확인을 위해 피해자의 스마트폰으로 인증번호 문자메시지를 전송했지만 해커가 통제하는 피해자의 기기는 문자가 왔다는 신호를 보내는 대신 인증번호를 해커의 기기로 전송했다. 해커는 이를 결제 창에 입력해 상품을 구매하고 요금은 피해자의 전화번호로 청구되도록 했다. 이 교수는 스마트폰에 저장된 문자메시지와 주소록을 빼내고 피해 기기가 더는 동작하지 못하도록 다운시키는 해킹도 시연했다.

이와 관련해 삼성전자는 “이 문제는 옴니아만의 문제가 아니라 마이크로소프트 윈도를 운영체제로 하는 스마트폰에 관한 것”이라며 “안철수연구소와 협력해 스마트폰 사용자에게 백신을 개발해 제공할 예정”이라고 밝혔다.

조종엽 기자 jjj@donga.com

김범석 기자 bsism@donga.com